Según un nuevo informe de Infoblox

Los daños ocasionados por el ransomware en 2020 podrían alcanzar 20.000 millones de dólares

47

Los ciberataques de ransomware han registrado un aumento del 93% durante el último año y no solo se dirigieron a grandes empresas y organismos oficiales, también afectó especialmente al sector educativo como reveló un reciente estudio realizado por Sophos.

En los últimos días, el ransomware ha sido considerado por Proofpoint como uno de los mayores riesgos en 2021 y, según sus datos, el año pasado se detectaron más de 48 millones de mensajes de email que contenían malware y que servían como punto de entrada. Ahora, Infoblox, proveedor de servicios de red seguros y gestionados desde la nube, también ha advertido sobre el ransomware al publicar una nueva edición del Infoblox Quarterly Cyberthreat Intelligence Report.

Este informe de inteligencia de seguridad recoge trimestralmente las principales amenazas y brechas de seguridad detectadas a nivel mundial durante los tres meses anteriores. Entre las principales conclusiones de su última versión, que cubre los meses de abril a junio de 2021, ocupa un lugar de relevancia todo lo relacionado con las actividades de ransomware.

Ransomware, una actividad lucrativa y de bajo riesgo para los ciberdelincuentes

Infoblox señala que el ransomware está cobrando fuerza como la principal amenaza para muchas organizaciones por dos motivos: el alto potencial de retorno de la inversión que genera para los ciberdelincuentes; y el alto nivel de impunidad con el que éstos operan. “Realizan los ataques desde lugares remotos, con poca o ninguna interferencia de los organismos encargados de hacer cumplir la ley, extradición por delitos de ransomware es rara o inexistente”.

Además, a ello suma que el impacto y el coste de los ataques exitosos de ransomware pueden ser muy elevados para una organización. En este sentido, el informe estima que en 2020 se han realizado pagos por 370 millones de dólares en concepto de rescate por este tipo de ataques y que el daño total que ha ocasionado es mucho mayor que el pago realizado, y puede aproximarse a los 20.000 millones de dólares.

“Entre dichos daños se encuentran la pérdida de datos e información confidencial, el daño o destrucción de los sistemas de información y de la infraestructura de negocio, pérdidas de productividad y daños a la marca y la reputación”.

Los ataques de ransomware como Servicio (RaaS)

Infoblox indica que los ciberdelicuentes también están utilizando los nuevos modelos de entrega de servicios de TI disponibles en el mercado, dado a que muchos carecen de las habilidades necesarias para crear su propio ransomware y contratan este servicio en la red.

En este sentido, explica que las plataformas RaaS incluyen soporte, foros comunitarios, documentación, actualizaciones y otros recursos, al igual que cualquier plataforma SaaS del mercado. Algunos sitios incluso ofrecen documentación de marketing de apoyo y casos de éxito, y el coste es relativamente bajo. En algunos casos, los usuarios disponen de modelos de suscripción mensual o de “pago por éxito”, es decir, sin tarifa inicial y pagando cuando un ataque es exitoso.

“La utilización de ataques RaaS con objetivos muy precisos está siendo lucrativo para los ciberdelincuentes. No son ataques masivos, sino que se utiliza ingeniería social para elaborar vectores de ataque de apariencia legítima, como correos electrónicos bien elaborados. En otros casos, los actores de amenazas pueden apuntar a vulnerabilidades específicas de un grupo de víctimas objetivo”, apunta Infoblox.

Los principales vectores de ataque del Ransomware

El nuevo Infoblox Quarterly Cyberthreat Intelligence Report de Infoblox también destaca que los principales métodos de propagación del ransomware detectados en el segundo trimestre de este año han sido cuatro. A continuación los explicamos siguiendo la información que ha proporcionado la compañía sobre cada uno de ellos.

  • Páginas web maliciosas. Estas webs utilizan técnicas de ingeniería social para hacer que los usuarios hagan click en un determinado enlace y descarguen ramsonware. Puede tratarse de una página web propia o de un sitio legítimo en el que los cibercriminales han conseguido implementar código malicioso para redirigir a los usuarios al sitio de descarga del malware. Algunos sitios web maliciosos albergan kits de explotación, que permiten a los atacantes escanear el equipo objetivo en busca de vulnerabilidades. Una vez encontradas, pueden ejecutar código sin que los usuarios hagan clic en nada. Además, los usuarios no se darán cuenta de que sus dispositivos están infectados hasta que les aparece una nota de rescate en la que se solicita un pago a cambio de la clave o archivos de descifrado.
  • Correo electrónico de spam. Los cibercriminales utilizan constantemente campañas de correo electrónico que emplean ingeniería social, tácticas como métodos de distribución de su malware, descargadores o enlaces maliciosos. Algunos ataques están altamente personalizados y dirigidos específicamente a un individuo u organización, una técnica conocida como spear-phishing, pero otros forman parte de campañas masivas. Como ya había indicado Infoblox, los correos electrónicos de suplantación de identidad buscan la participación de los usuarios para cargar software malicioso en su sistema y, potencialmente, en la red de una organización. Una vez que los atacantes tienen acceso al sistema, pueden utilizar o encontrar la información confidencial y obtener acceso al correo electrónico, a la red, los sistemas financieros u otros activos.
  • Protocolo de escritorio remoto (RDP). Los equipos de TI conocen RDP como el protocolo de Microsoft que facilita las conexiones remotas a otros ordenadores. Generalmente, esta conexión ocurre a través del puerto TCP 3389. RDP proporciona acceso a la red a través de un canal cifrado y permite a los usuarios controlar de forma remota equipos con Microsoft Windows. Este protocolo es muy utilizado, sobre todo durante la pandemia, ya que permitía, por ejemplo, al equipo de TI, acceder a los equipos de trabajadores que estaban en sus casas para solucionar incidencias. Pero RDP se ha convertido en un vector de ataque muy eficaz y peligroso. Un estudio ha revelado que más de 10 millones de equipos conectados a red estaban configurados con el puerto 3389 abierto. Para un hacker es muy sencillo utilizar motores de búsqueda como Shodan para localizar dispositivos con este puerto abierto. Puede obtener acceso a los servidores RDP mediante el uso de contraseñas predeterminadas en los servidores que no se han actualizado o utilizar técnicas de fuerza bruta para entrar. Una vez dentro, obtienen privilegios de administrador, el control total de la máquina y cifrar archivos. También pueden aprovechar las vulnerabilidades en el cliente Microsoft RDP, Free RDP (un cliente RDP de código abierto en GitHub), o RDesktop (un cliente RDP de código abierto que es un cliente RDP predeterminado en Kali Linux).
  • Tarjetas de memoria USB. Las memorias USB se han utilizado para distribuir muchos tipos de malware, incluido ransomware. Los malhechores dejan unidades USB en cafeterías, aeropuertos, buzones de correo u oficinas para que los usuarios desprevenidos los recojan y usen. Al insertar la memoria en el ordenador, el ransomware se ejecuta, cifra los archivos del dispositivo y se propaga dentro de la red.

Artículo
Los daños ocasionados por el ransomware en 2020 podrían alcanzar 20.000 millones de dólares
Nombre
Los daños ocasionados por el ransomware en 2020 podrían alcanzar 20.000 millones de dólares
Descripcion
Según un nuevo informe de Infoblox, que también estima que los rescates que se realizaron por este tipo de ataques en 2020 sumaron 370 millones de dólares.
Autor
Publico
Escudo Digital
Logo